L’information Commissioner’s Office, équivalent britannique de notre CNIL, a esquissé les conséquences du Brexit sur de la protection des données personnelles. Au moment de cet épisode historique, les échanges se poursuivent sur l’accord Privacy Shield entre l’Europe et les États-Unis, cette fois.
Une fois le Royaume-Uni sorti de l’Union européenne, très logiquement « les réformes européennes sur la protection des données personnelles n’y s’appliqueront pas directement » indique l'ICO dans un communiqué. Conclusion : le Royaume-Uni va devoir passer le même test que n’importe quel pays tiers, notamment les États-Unis, s’agissant des transferts de flux de données personnelles.
Pour échanger avec l’un des pays du marché unique, les autorités devront en particulier démontrer que les standards de la protection des données personnelles sont en adéquation avec ceux posés par le règlement européen en vigueur en 2018. Un objectif qui suscite déjà quelques doutes, notamment chez Jan Philipp Albrecht. Sur son fil Twitter, l’eurodéputé écologiste a ainsi mis à l’index le programme de surveillance du GCHQ et le manque de garanties en vigueur outre-Manche.
Que va-t-il se passer concrètement après le Brexit ?
Comment va se dérouler le retrait du Royaume Uni ? Dans une déclaration conjointe de Martin Schulz, président du Parlement européen, Donald Tusk, Président du Conseil européen, ou encore Jean-Claude Juncker, président de la Commission européenne, rappelle les termes de l’article 50 du Traité sur l’Union européenne.
Selon cette disposition, l’État membre qui décide de se retirer doit d’abord notifier son intention au Conseil européen. Cette notification fait ensuite l’objet d’une négociation pour définir les modalités du retrait. Ceci fait, les traités UE cesseront « d’être applicables à l’État concerné à partir de la date d’entrée en vigueur de l’accord de retrait ou, à défaut, deux ans après la notification [...] sauf si le Conseil européen, en accord avec l’État membre concerné, décide à l’unanimité de proroger ce délai ».
Selon ces instances dirigeantes européennes, « l'article 50 du Traité sur l'Union européenne établit la procédure à suivre dans le cas où un Etat membre décide de quitter l'Union européenne. Nous nous tenons prêts à lancer rapidement des négociations avec le Royaume-Uni sur les termes et conditions de son retrait de l'Union européenne ».
Le point sur le Privacy Shield
Les négociations avec les États-Unis montrent justement combien est délicate cette questions d'adéquation. L’accord Privacy Shield est désormais en version finale. Après bien des débats, un texte amendé a été adressé hier soir aux États membres, à charge pour eux de l’approuver, ou non, début juillet, indique l’agence Reuters.
En 2000, la Commission européenne avait validé le Safe Harbor, seulement il a été dézingué le 6 octobre 2015 par la Cour de justice de l'Union européenne, qui a épinglé un manque de garanties outre les trop vastes possibilités d'accès de la NSA. Son remplaçant, le Privacy Shield est donc très attendu des acteurs du numérique, puisqu'il permettra de rouvrir les vannes des transferts de données personnelles vers les centres de traitements outre-Atlantique.
Où en est-on exactement ? Dans le round des négociations, la Commission européenne a adressée aux États membres une série d’annexes remaniées, non encore l’accord intégral. Selon nos informations, dans la première, il est prévu par exemple des échanges sur les traitements automatisés lors de la revue annuelle de l’accord (clause de revoyure). L’annexe 2 contient des limitations censées être plus précises sur les traitements ultérieurs. La Commission a également promis des finalités mieux encadrées au regard des traitements de données. Dans l’annexe 3, on apprend que l’Ombudsperson (ou médiateur) sera toujours rattaché aux autorités politiques, mais celles-ci auront pour mission de vérifier l’indépendance de son travail. Dans une annexe 6, enfin, l’institution européenne a apporté de nouveaux éclairages en cas de collecte de données, qui pourrait être d’une certaine ampleur dans certains cas (surveillance d’une ville en cas d’attentat par exemple).
Un vote début juillet
Voilà quelques jours, la France avait fait connaître ses exigences à la Commission européenne. Jean-Jacques Urvoas, reprenant en partie l’analyse du groupe de l’article 29, pointait trois sujets d’inquiétudes. Il réclamait un meilleur encadrement des transferts ultérieurs de données à des États tiers, un droit au recours « lisible et effectif » au profit des résidents de l’Union et, enfin, une clause de révision pour adapter les règles au futur règlement sur les données personnelles. Ces vœux seront-ils exaucés ? L’heure va être maintenant à l’analyse précise des éléments adressés aux 28 pays (et bientôt 27).
Les États ont un délai de 14 jours pour répondre, mais la Commission devrait engager une procédure d’urgence. Le temps presse : deux réunions seront organisées le 29 juin et le 4 juillet. Le collège des commissaires se réunira ensuite le 5 juillet. La phase finale de vote (à majorité simple) devrait intervenir ensuite. Un rendez-vous important qui permettre de voir les positions effectives de chaque État membre, en particulier de la France et de l'Allemagne.
